在 Windows Server 2008 R2 上,必須為要在其下執行的每個排程任務指定一個使用者。
我們制定了一項政策,要求每個網域使用者必須每 30 天更改一次密碼。
這會產生一個問題,因為我們有許多計劃任務需要在大量伺服器上運行。當與給定計劃任務關聯的使用者更改其密碼(每 30 天需要一次)時,所有任務都會停止工作(直到您登入並更改任務密碼)。
我們嘗試在 SYSTEM 帳戶下執行計劃任務,但這不起作用。
我曾想過創建一個新帳戶(SCHED_TASK),該帳戶無法互動式登錄,是管理員,並且不受密碼更改要求的限制。
對我來說這似乎是一個“黑客”。我們是否應該使用更好的方法或某種內建帳戶?
在這種情況下,最佳實踐是什麼?
答案1
在 AD 中,您可以在服務帳戶上設定「密碼永不過期」(帳戶標籤)。
答案2
您應該仍然能夠以系統身分運行它。我在批次腳本中有一些 AT 命令,用於計劃重新啟動等。只需確保您“以管理員身份運行它們”,否則它們將永遠不會運行。
答案3
事實證明,系統帳戶是正確的選擇。這裡的另一位管理員對阻止進程運行的系統帳戶設定了一些限制。透過刪除這些附加的(不是開箱即用的)安全設置,現在一切正常。
而且SYSTEM帳戶甚至沒有密碼,因此它不會過期等。